Data Protection Officer (DPO) yani Türkçe karşılığıyla Veri Koruma Görevlisi terimini 25 Mayıs 2018’de Avrupa Birliği’nde yürürlüğe giren General Data Protection Regulation (GDPR) ile sıklıkla duymaya başladık. Ancak bu terim bir takım farklılıklarla 95/46/EC3 sayılı Avrupa Parlamentosu ve Avrupa Konseyi Direktifi ile hayatımıza girmiştir.
95/46/EC3 sayılı Direktif herhangi bir kuruluşun DPO atamasını zorunlu kılmamasına karşın DPO atama uygulaması yıllar içinde bazı Üye Devletlerde görülmüştür.
GDPR’nin kabul edilmesinden önce Working Party 29, DPO’nun hesap verebilirliğin temel taşı olduğunu, bir DPO atamanın uyum sürecini kolaylaştırabileceğini ve ayrıca işletmeler için rekabet avantajı haline gelebileceğini savunmuştur.
Veri Koruma Görevlisi – DPO Kimdir?
Bir Veri Koruma Görevlisinin (DPO) temel görevi kuruluşunun, ilgili kişilerin kişisel verilerini yürürlükteki veri koruma mevzuatına uygun olarak işlemesini sağlamaktır.
DPO’lar bir şirketin uyumluluğunu izler. Veri sorumlusuna veya veri işleyene ve personele veri koruma yükümlülükleri hakkında bilgi verir. Tavsiyelerde bulunur. Veri Koruma Etki Değerlendirmeleri (DPIA’lar) hakkında da tavsiyeler verir. Gerektiğinde Tüzüğün 35. maddesi gereği değerlendirmenin performansını da izler.
DPO, GDPR’nin 36. maddesinde düzenlenen hususlar dahil olmak üzere işleme faaliyetlerine ilişkin konularda ilgili kişiler ile denetim makamı için bir irtibat noktası ve gerektiğinde bir danışma makamı olarak hareket eder. Yetkili makamlarla iş birliği yapar ve iletişimi sağlar.
DPO’nun bunlara ek olarak işleme faaliyetlerine müdahil çalışanların farkındalığının arttırılması görevi de vardır. Çalışanların eğitilmesi ve veri sorumlusu ile veri işleyenin kişisel verilerin korunmasına yönelik politikalarına uyumluluğunu izleme görevi mevcuttur.
DPO tüm bu görevlerini yerine getirirken işleme faaliyetlerinin mahiyetini, kapsamını, bağlamını ve amaçlarını ve bu faaliyetlerle ilişkili riskleri dikkate almalıdır.
DPO – Veri Koruma Görevlisinin Hakları Nelerdir?
DPO’ların sorumlulukları dışında birtakım hakları da mevcuttur. DPO’ların görevlerini yerine getirebilmesi şirket kaynaklarının kendilerine sağlanması gerekmektedir.
GDPR’nin 38. maddesine göre veri sorumlusu ve veri işleyen, DPO’nun kişisel verilerin korunmasına ilişkin tüm konulara zamanında ve uygun şekilde müdahil olmasını sağlamakla yükümlüdür. DPO’nun kişisel verilere ve işleme faaliyetlerine erişebilmesi sağlanmalıdır.
DPO’lar bağımsız olmalıdır. DPO’nun görevlerini yerine getirmesinden ötürü veri sorumlusu ve veri işleyen tarafından görevinden alınması ya da cezalandırılması mümkün değildir. Ayrıca DPO, doğrudan veri sorumlusu ve veri işleyenin en üst yönetimine rapor vermekle yükümlüdür. Görevlerinin yerine getirilmesiyle ilgili sır saklama yükümlülüğüne tabidir.
GDPR’ye uyulmaması durumunda DPO’lar kişisel olarak sorumlu değildir. GDPR, veri işleme faaliyetlerinin yürürlükteki hükümlere uygun olarak gerçekleştirildiğini temin etmesi ve gösterebilmesi gereken kişinin veri sorumlusu veya veri işleyen olduğunu açıkça belirtmektedir. Anlaşılacağı üzere veri koruma mevzuatına uyum, veri sorumlusu veya veri işleyenin sorumluluğundadır.
Kaynak: Article 29 Data Protection Working Party – Guidelines on Data Protection Officers (‘DPOs’) https://ec.europa.eu/information_society/newsroom/image/document/2016-51/wp243_en_40855.pdf?wb48617274=CD63BD9A AXEL., VOIGT, PAUL. VON DEM BUSSCHE,. EU GENERAL DATA PROTECTION REGULATION (GDPR): A Practical Guide. SPRINGER INTERNATIONAL PU, 2018.
Ayrıca Bakınız: GDPR Gereklilikleri Kapsamında Yeni Standart Sözleşme Maddeleri Yayınlandı